Ботнет MooBot (вариант ботнетаMirai ) с начала июля атакует уязвимые маршрутизаторы D-Link с использованием сочетания старых и новых эксплойтов.
Согласно отчету Unit 42 Palo Alto Network , MooBot в настоящее время нацелен на следующие критические уязвимости в устройствах D-Link:
D-Link выпустил обновления для устранения этих недостатков, но еще не все пользователи применили патчи, особенно исправления для CVE-2022-26258 и CVE-2022-26258, о которых стало известно в марте и мае этого года.
Операторы MooBot используют RCE-уязвимости, чтобы получить двоичный файл вредоносного ПО с помощью произвольных команд.
Обзор атаки MooBot
После того как вредоносная программа декодирует жестко запрограммированный адрес из конфигурации, захваченные роутеры регистрируются на C&C - сервере злоумышленника. Примечательно, что адрес C&C-сервера отличается от адреса в предыдущих атаках, что указывает на обновление инфраструктуры ботнета. В итоге захваченные маршрутизаторы участвуют в DDoS - атаках на различные цели.
Пользователи скомпрометированных устройств D-Link могут заметить падение скорости интернета, зависание, перегрев маршрутизатора или изменения конфигурации DNS — это распространенные признаки заражения ботнетом.
Если маршрутизатор уже скомпрометирован, нужно выполнить сброс, изменить пароль администратора и установить последние обновления безопасности от D-Link.
Эксперты порекомендовали применить доступные исправления. Если вы используете старое и неподдерживаемое устройство, вам следует настроить его так, чтобы предотвратить удаленный доступ к панели администратора.